java代码审计之XXE

最新推荐文章于 2024-05-29 07:48:21 发布
最新推荐文章于 2024-05-29 07:48:21 发布
阅读量447 收藏 1
点赞数
分类专栏: java代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Candyys/article/details/105566247
版权

介绍

XML 文档结构包括 XML 声明、 DTD 文档类型定义(可选)、文档元素。文档类型定义(DTD)的作用是定义
XML 文档的合法构建模块。 DTD 可以在 XML 文档内声明,也可以外部引用。
内部声明 DTD:
引用外部 DTD:
当允许引用外部实体时,恶意攻击者即可构造恶意内容访问服务器资源,如读取 passwd 文件:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE replace [
<!ENTITY test SYSTEM "file:///ect/passwd">]>
<msg>&test;</msg>

危险函数:

javax.xml.parsers.DocumentBuilder
javax.xml.stream.XMLStreamReader
org.jdom.input.SAXBuilder
org.jdom2.input.SAXBuilder
javax.xml.parsers.SAXParser
org.dom4j.io.SAXReader
org.xml.sax.XMLReader
javax.xml.transform.sax.SAXSource
javax.xml.transform.TransformerFactory
javax.xml.transform.sax.SAXTransformerFactory
javax.xml.validation.SchemaFactory
javax.xml.bind.Unmarshaller
javax.xml.xpath.XPathExpression

但是现在用到以上函数越来越少了。用到springboot框架,rest返回XML格式数据的实现。详情可见---->Spring Boot rest api 返回 XML 格式的数据

审计策略

XML 解析一般在导入配置、数据传输接口等场景可能会用到,涉及到 XML 文件处理的场景可留意下 XML
解析器是否禁用外部实体,从而判断是否存在 XXE。
 

hu4wufu
关注
专栏目录
Java代码审计XXE漏洞
大河之犬的博客
04-02 1298
XXE 漏洞的原理主要是利用了 XML 解析器的实体引用特性。在 XML 中,可以使用实体引用来引用外部的实体,例如文件,以便在 XML 文档中重用内容。然而,如果 XML 解析器未经适当配置,可能会导致外部实体的任意读取和执行,从而引发安全漏洞。攻击者可以构造恶意的 XML 文件,其中包含对外部实体的引用,并通过将这个 XML 文件提交给目标应用程序来触发漏洞。当目标应用程序解析这个 XML 文件时,解析器会尝试读取和解析外部实体,从而使得攻击者能够访问本地或远程系统上的文件,并执行相关操作。
Java代码审计XXE漏洞详解
悦分享
01-24 91
除此之外,XML文档中还规定了一系列定义好的“字符引用”,使用特殊的字母组合来表示某些特殊字符,如“
java代码审计--xxe
goddemon
09-15 285
常见关键字 Documentbuilder DocumentBuilderFactory SAXReader SAXParser SAXParserFactory SAXBuilder TransformerFactory reqXml getInputStream XMLReaderFactory .newInstance SchemaFactory SAXTransformerFactory javax.xml.bind XMLReader XmlUtils.get Validator java解析
Java代码审计XXE
qq_34012951的博客
02-16 120
获取参数data,通过inputSource进行提取的信息,进行外部实体解析。2、审计思路,全局搜索关键字,打开相关对应的文件。3.创建xml解析工厂。
java审计-XXE
admin741admin的博客
04-13 651
XML是一种非常流行的标记语言,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD实体的引用有内部声明实体和外部引用实体的区别。按类型分则分为:内置实体,字符实体,通用实体,参数实体。而在XXE中最常见的就是通用实体和参数实体。
[连载]java代码审计中常见漏洞的特征函数-xxe
重新启程
10-15 464
本期要点 当一个比较完善的经过其他审计专家进行过代码审计的软件,希望直接能够找到单一的可以直接利用的漏洞,确实有点接近天方夜谭。 各种代码审计专家,他们不会进行动态调试,基本上都静态的根据各种审计软件或者设计手册进行审计。 这里就必然会出现一种可能性,静态审计无法对动态结果进行猜测 多个小的不起眼的问题,单个是无法利用的,并且改动对于软件的整体结构有很大影响,那么开发团队就会倾向于不修改。 所以我们一定不要孤立的去看任何一个小的漏洞或者不正确的写法 甚至于,
一篇文章读懂Java代码审计XXE
热门推荐
Summer's blog
05-13 1万+
前言   学习总结Java审计过程中笔记,审计方法。 阅读要求:有简单Java代码基础,了解漏洞原理。 漏洞简介    简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 有回显    不说废话,先看效果,成功读取文本内容。    代码分析漏洞成因: public String xxeDo...
完整的Java代码审计学习笔记资源(免费下载)
10-31
java代码审计-xxe.md 第一的 4年前 java代码审计-反序列化.md 添加一些关于 jndi 的内容 3年前 java代码审计-命令执行.md 第一的 4年前 java代码审计-文件操作.md 第一的 4年前 java代码审计-环境搭建+前置知识.md ...
【网络安全】JAVA代码审计—— XXE外部实体注入
HBohan的博客
01-14 1149
想要了解XXE,在那之前需要了解XML的相关基础
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
最新发布
dzqxwzoe的博客
05-29 1111
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml。
java审计之XXE
Hq_Dream的博客
01-20 2129
java审计之XXE 有很久很久没更新这个csdn博客了,忽然想下载个资料发现没积分了,嗯额,分享个最新更新的文章。文章首发是个人的另一个博客 最近审计公司的xxx项目(java方面),对于我也是刚接触java方面的审计,边学习边审计,其中发现了几个有意思的blind xxe于是单独挑出XXE深入研究下,我觉得有必要page记录一下审计与学习的内容,对于xxe方面内容可能还不是太完整后续再添加吧,...
php代码审计xxe
qq_42307546的博客
06-04 601
xml
代码审计——XXE详解
Boom!脑洞大爆炸的博客
06-17 575
代码审计XXE详解
xxe漏洞php代码审计1
m0_55772907的博客
05-01 651
(1)原理 XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害 xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件 (2)基础知识 XML 被设计为传输和存储数据,其焦点是数据的内容HTML 被设计用来显示数据,其焦点是数据的外观...
[连载2]高端java课程-代码审计中常见漏洞的特征函数-xxe-补充篇(框架设计者的无奈)
重新启程
10-15 394
[高端java课程]系列讲座 我在一个软件中发现了一个类XXEUtil,主要作用是阻止出现xxe漏洞,进行一个预防措施,这确实是一个好的方案。 奈何!这个方案有个重大的弱点,他不是类似spring框架的AOP编程的思想实现的切面编程,需要开发人员在实际使用xml的时候调用这个类中的方法。 我截取了这个类的代码如下: import javax.xml.parsers.DocumentB...
代码审计之代码执行注入
weixin_30872671的博客
02-18 115
1#基础了解 今天简单的了解了一下代码执行,就是在php里面有一些函数将输入的字符串参数当作PHP程序代码来执行。 常见的代码执行函数:eval()、assert()、preg_replace() eval()、assert()是代码执行注入 preg_replace()是正则代码执行注入 2#利用演示 eavl()和assert()的用法差不多,正则表达式不是太熟悉,过后再补充,本编...
Java代码审计连载之—SQL注入
dfdhxb995397的博客
08-03 121
前言近日闲来无事,快两年都没怎么写代码了,打算写几行代码,做代码审计一年了,每天看代码都好几万行,突然发现自己都不会写代码了,真是很DT。想当初入门代码审计的时候真是非常难,网上几乎找不到什么java审计的资料,摸索了很长时间,搜到的也仅仅讲了点原理,为了给想学java代码审计的朋友门一点入门资料,就开始写《java代码审计连载》系列文章,本文章适合初学者,大牛留下脚印后请绕过,若代码有...
XXE--XML外部实体注入
Y22Lee的博客
04-20 264
简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。
JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜安全
04-22 4693
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
java xxe代码审计方法
05-18
Java XXE(XML External Entity)漏洞是一种常见的Web漏洞,攻击者可以利用它来读取本地文件、发起远程请求等。对于Java应用程序,XXE漏洞通常出现在处理XML输入时,因此在对Java代码进行审计时,需要关注与XML相关的代码。 以下是一些可能的Java XXE代码审计方法: 1. 检查XML解析器配置:在Java中,XML解析器可以通过不同的方式进行配置,如使用JAXP(Java API for XML Processing)或SAX(Simple API for XML)。检查解析器的配置是否允许外部实体、是否设置了解析器属性以防止XXE攻击等。 2. 检查XML输入处理:检查代码中是否使用了不安全的XML输入处理方法,如DocumentBuilderFactory、SAXParser等,是否使用了不安全的XML处理API,如Xerces、dom4j等。同时,还要注意代码中是否对输入进行了充分的验证和过滤,以防止攻击者利用XXE漏洞进行注入攻击。 3. 检查文件读取操作:在Java中,攻击者可以通过XXE漏洞读取本地文件,因此需要注意代码中是否存在不安全的文件读取操作,如FileReader、FileInputStream等。同时,还要注意代码中是否对读取文件的路径进行了充分的验证和过滤,以防止攻击者读取敏感文件。 4. 检查网络请求操作:攻击者可以通过XXE漏洞发起网络请求,因此需要注意代码中是否存在不安全的网络请求操作,如URLConnection、HttpClient等。同时,还要注意代码中是否对请求的URL进行了充分的验证和过滤,以防止攻击者发起恶意请求。 总之,在Java代码审计中,需要重点关注与XML相关的代码,并进行充分的验证和过滤,以防止XXE漏洞等Web漏洞的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值